Criar um grupo atribuível a função no Microsoft Entra ID
Com o Microsoft Entra ID P1 ou P2, você pode criar grupos atribuíveis a funções e atribuir funções do Microsoft Entra a esses grupos. Você cria um novo grupo atribuível de função definindo que as funções do Microsoft Entra podem ser atribuídas ao grupo como Sim ou definindo a isAssignableToRole propriedade definida como true. Um grupo atribuível por função não pode ser do tipo de associação dinâmica e você pode criar um máximo de 500 grupos em um único locatário.
Este artigo descreve como criar um grupo atribuível por função usando o centro de administração do Microsoft Entra, o PowerShell ou a API do Microsoft Graph.
Pré-requisitos
- Licença do Microsoft Entra ID P1 ou P2
- Administrador de Funções com Privilégios
- Módulo Microsoft.Graph ao usar o Microsoft Graph PowerShell
- Módulo do Azure AD PowerShell ao usar o Azure AD PowerShell
- Consentimento do administrador ao utilizar os Testes de API do Graph para a Microsoft Graph API
Para obter mais informações, consulte Pré-requisitos para usar o PowerShell ou o Graph Explorer.
Centro de administração do Microsoft Entra
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
Navegue até Grupos>de identidade>Todos os grupos.
Selecione Novo grupo.
Na página Novo Grupo, forneça o tipo, o nome e a descrição do grupo.
Definir funções do Microsoft Entra pode ser atribuído ao grupo como Sim.
Essa opção é visível para Administradores de Função Privilegiada porque essa função pode definir essa opção.
Selecione os membros e proprietários do grupo. Você também tem a opção de atribuir funções ao grupo, mas atribuir uma função não é necessário aqui.
Selecione Criar.
Você verá a seguinte mensagem:
Criar um grupo ao qual as funções do Microsoft Entra podem ser atribuídas é uma configuração que não pode ser alterada posteriormente. Tem certeza de que deseja adicionar esse recurso?
Selecione Yes (Sim).
O grupo é criado com quaisquer funções que você possa ter atribuído a ele.
PowerShell
Use o comando New-MgGroup para criar um grupo atribuível a funções.
Este exemplo mostra como criar um grupo atribuível de função de segurança.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$false -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true
Este exemplo mostra como criar um grupo atribuível de função do Microsoft 365.
Connect-MgGraph -Scopes "Group.ReadWrite.All"
$group = New-MgGroup -DisplayName "Contoso_Helpdesk_Administrators" -Description "Helpdesk Administrator role assigned to group" -MailEnabled:$true -SecurityEnabled -MailNickName "contosohelpdeskadministrators" -IsAssignableToRole:$true -GroupTypes "Unified"
Microsoft Graph API
Use a API Criar grupo para criar um grupo atribuível por função.
Este exemplo mostra como criar um grupo atribuível de função de segurança.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"isAssignableToRole": true,
"mailEnabled": false,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true
}
Este exemplo mostra como criar um grupo atribuível de função do Microsoft 365.
POST https://graph.microsoft.com/v1.0/groups
{
"description": "Helpdesk Administrator role assigned to group",
"displayName": "Contoso_Helpdesk_Administrators",
"groupTypes": [
"Unified"
],
"isAssignableToRole": true,
"mailEnabled": true,
"mailNickname": "contosohelpdeskadministrators",
"securityEnabled": true,
"visibility" : "Private"
}
Para este tipo de grupo, isPublic será sempre falso e isSecurityEnabled será sempre verdadeiro.